CVE-2026-32892: Уразливість виконання команд у Chamilo LMS

Виявлено критичну уразливість виконання команд у Chamilo LMS, що дозволяє автентифікованим користувачам виконувати довільні команди. Рекомендується оновлення.
CVE-2026-32892CVSS 9.1Web

CVE-2026-32892: Уразливість виконання команд у Chamilo LMS

Виявлено критичну уразливість виконання команд у Chamilo LMS, що дозволяє автентифікованим користувачам виконувати довільні команди. Рекомендується оновлення.

CVSS
9.1 CRITICAL
EPSS
71.63%
Активно використовується
немає в KEV
Продукт
chamilo lms

Що відомо

У Chamilo LMS виявлено критичну уразливість виконання команд операційної системи через функцію move() у файлі fileManage.lib.php. Уразливість дозволяє автентифікованим користувачам, які є викладачами, виконувати довільні команди від імені веб-сервера, використовуючи спеціально сформовані шляхи.

Бізнес-вплив

Ця уразливість з критичним рейтингом CVSS 9.1 може призвести до повного компрометування серверу, на якому працює Chamilo LMS, через виконання довільних команд. Оскільки будь-який автентифікований викладач може експлуатувати цю вразливість, існує високий ризик несанкціонованого доступу до даних та порушення цілісності системи. Вплив на бізнес включає потенційні витоки даних, порушення навчального процесу та репутаційні втрати.

Рекомендовані дії адміністратора

Адміністраторам рекомендується негайно оновити Chamilo LMS до версій 1.11.38 або 2.0.0-RC.3, де ця уразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити права користувачів на створення курсів та переміщення документів, ретельно перевірити журнали на ознаки експлуатації, а також зменшити доступ до файлової системи для веб-сервера. Важливо регулярно перевіряти наявність оновлень від постачальника та впроваджувати багаторівневі заходи безпеки.

Джерела